La investigación de Twitter sobre un ciberataque grave que tuvo lugar a principios de julio de 2020 descubrió que los ciberdelincuentes obtuvieron acceso a sus sistemas a través de un ataque de spearphishing de ingeniería social bien planificado y cuidadosamente dirigido a los propios empleados de Twitter.
El ataque tuvo lugar por teléfono, utilizando una técnica conocida como vishing, y logró obtener credenciales específicas de los empleados que permitieron a los atacantes obtener acceso a las herramientas de soporte interno de Twitter. A partir de ahí, se dirigieron a empleados de nivel superior que tenían acceso a herramientas críticas de soporte de cuentas.
Con este nivel de acceso, pudieron tomar el control de 130 cuentas de Twitter, tuitearon mensajes maliciosos de 45 de ellos, accedieron a la bandeja de entrada de mensajes directos (DM) de 36 y descargaron los datos de Twitter de siete.
«Este ataque se basó en un intento significativo y concertado de engañar a ciertos empleados y explotar las vulnerabilidades humanas para obtener acceso a nuestros sistemas internos», dijo un portavoz de Twitter a través de un blog de divulgación. “Este fue un recordatorio sorprendente de la importancia de cada persona en nuestro equipo para proteger nuestro servicio. Tomamos esa responsabilidad en serio y todos en Twitter se comprometen a mantener su información segura.
«Nos hemos comunicado directamente con los propietarios de las cuentas afectadas y trabajamos para restaurar el acceso a cualquier cuenta que pueda haber sido bloqueada temporalmente durante nuestros esfuerzos de reparación. Nuestra investigación está en curso, y estamos trabajando con las autoridades apropiadas para garantizar que las personas responsables de este ataque sean identificadas «.
Twitter reconoció que el incidente había planteado preocupaciones sobre sus herramientas y niveles de acceso de los empleados. Dijo que en el día a día, sus equipos de soporte utilizan una serie de herramientas patentadas para ayudar en su trabajo, pero el acceso a dichas herramientas es muy limitado y solo se otorga por razones comerciales válidas. La empresa aplica una política de tolerancia cero para el mal uso de estas herramientas o credenciales, y monitorea y audita activamente los permisos que otorga.
Sin embargo, claramente estas salvaguardas no tuvieron en cuenta a los actores maliciosos moviéndose lateralmente a través de sus sistemas, por lo que dijo que ahora estaría «analizando detenidamente» cómo puede hacer que estos procesos sean más sofisticados y seguros.
«En el futuro, estamos acelerando varios de nuestros flujos de trabajo de seguridad preexistentes y mejoras en nuestras herramientas», dijo la firma. “También estamos mejorando nuestros métodos para detectar y prevenir el acceso inapropiado a nuestros sistemas internos y priorizando el trabajo de seguridad en muchos de nuestros equipos. Continuaremos organizando ejercicios de phishing en toda la empresa durante todo el año.
“Estamos avergonzados, decepcionados y, más que nada, lo sentimos. Sabemos que debemos trabajar para recuperar su confianza, y apoyaremos todos los esfuerzos para llevar a los responsables ante la justicia. Esperamos que nuestra apertura y transparencia a lo largo de este proceso, y los pasos y el trabajo que tomaremos para protegernos contra otros ataques en el futuro, sean el comienzo de hacer esto bien ”.
Stuart Reed, director del Reino Unido en Cyberdefense naranja, dijo: «Como se sospecha, esta violación fue el resultado de la ingeniería social: piratas informáticos que se aprovechan de vulnerabilidades humanas. Las contramedidas técnicas contra los intentos de phishing y la detección de actividades maliciosas en la actualidad son mucho más robustas que en el pasado. El humano, por otro lado, es más complejo y difícil de predecir en ciertos escenarios, mientras que es fácil de manipular en otros.
“Es vital que las organizaciones empleen un enfoque en capas de personas, procesos y tecnología para una seguridad cibernética óptima. Este incidente subraya la importancia crítica de la conciencia y la educación entre los empleados y el papel que desempeñan en la buena higiene de los datos. La seguridad cibernética no es la única preocupación de un individuo o una función, es una responsabilidad compartida de todos «.
Análisis del ataque de Twitter producido a principios de esta semana por Atlas VPN descubrió que los tweets maliciosos podrían haber alcanzado hasta 382 millones de personas, aunque claramente existe una superposición entre los seguidores de diferentes cuentas. Entre las cuentas más grandes atacadas se encuentran las del ex presidente de los Estados Unidos, Barack Obama, a quien le siguen 121 millones de personas, o el 37% de los usuarios de Twitter monetizables, Kim Kardashian, seguido por 66 millones, y Bill Gates, seguido por 51.3 millones.